CN106960154A - 一种基于决策树模型的恶意程序动态识别方法 - Google Patents
一种基于决策树模型的恶意程序动态识别方法 Download PDFInfo
- Publication number
- CN106960154A CN106960154A CN201710203447.2A CN201710203447A CN106960154A CN 106960154 A CN106960154 A CN 106960154A CN 201710203447 A CN201710203447 A CN 201710203447A CN 106960154 A CN106960154 A CN 106960154A
- Authority
- CN
- China
- Prior art keywords
- behavior
- sample
- decision
- vector
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/24323—Tree-organised classifiers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Bioinformatics & Computational Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
一种基于决策树模型的恶意程序动态识别方法,步骤如下:1:建立行为收集沙箱模块;2:收集黑白样本组成训练样本集;3:捕获样本运行中所产生的所有行为;4:计算白样本各类行为的特征标识节点及行为向量,组合得到白向量集;5:计算黑样本各类行为的特征标识节点及行为向量,组合得到黑向量6:将黑白向量集同机器学习模型进行训练,生成决策树;7:将未知样本程序根据沙箱抓取完整行为;8:计算未知样本的行为特征标识;9:计算样本的行为向量并输入到决策树中进行识别;10:决策树输出样本识别的结果。通过以上步骤,达到了使用决策树模型来进行恶意程序动态识别的目的,解决了分析恶意样本过程中,效率低,流程复杂的问题。
Description
一.技术领域
本发明提供一种基于决策树模型的恶意程序动态识别方法,它涉及动态恶意程序的检测识别方法,属于信息安全领域。
二.背景技术
随着互联网的普及和发展,木马程序,下载者,勒索软件,恶意宏文件等恶意软件的传播利用也在不断加剧,一款恶意软件可能对企业或用户造成极大的危害,因此,使用怎样的手段进行高效,准确的识别成为计算机安全防御的一个重点。
目前的检测手段主要采用基于特征码的查杀和启发式的人工特征行为查杀,即通过人工分析识别特征文件的安全性,针对分析出来的恶意样本,提取其代表性的恶意特征码或恶意行为特征来实现规则,对样本进行识别。这类通用型的识别检测方法缺点比较明显:
1.消耗时间久,需要的专业人员数量庞大,如今每天都会产生大量的新型恶意样本,人工分析样本并提取恶意特征需要消耗大量工作时间
2.对样本分析人员的技术有较高的要求,低质量的分析提取的特征码和行为特征容易发生大面积的误报问题或者被恶意软件开发者进行特征修改绕过检测
3.传统的检测方法存在一定时间的检测空白期,需要特征库的数据支持,即捕获到该样本,分析样本,加入特征库,而新型恶意样本的特征往往不会存在于特征库中,所以无法第一时间识别新型恶意样本。
三.发明内容
1、发明目的
本发明的目的在于提供一种基于决策树模型的恶意程序动态识别方法,以实现智能高效的分析识别恶意程序,解决现有恶意程序识别流程复杂,人工分析效率低,识别方法存在一定检测空白期导致新型恶意程序不能被及时有效识别,恶意程序开发者通过修改隐藏恶意特征,欺骗绕过检测的问题。
2、技术方案
本发明一种基于决策树模型的恶意程序动态识别方法,其步骤如下:
步骤1:在没有被其他恶意程序污染的原始环境中建立沙箱模块,目的为实现对样本程序的完整行为捕获;
步骤2:收集黑样本程序和白样本程序组成训练样本集,该训练样本集用于生成决策树;
步骤3:分别将白样本程序和黑样本程序放入沙箱,进行环境还原之后捕获每个样本程序运行中所产生的所有行为;
步骤4:对沙箱中白样本程序所运行的数据结果进行行为分类并计算各类行为的特征标识节点,组合得到当前样本的行为向量,将所有白样本向量组合成白向量集;
步骤5:同步骤4一样,对沙箱中黑样本程序所运行的数据结果进行行为分类并计算出其各类行为的特征标识节点,组合得到当前样本的行为向量,将所有黑样本向量组合成黑向量集;
步骤6:将黑白向量集同机器学习模型进行训练,学习生成用于识别恶意程序的决策树;
步骤7:将待识别的未知样本程序根据沙箱抓取完整行为;
步骤8:计算未知样本关于“文件行为”、“注册表行为”、“进程行为”、“内存行为”、“线程行为”、“系统行为”、“网络行为”这7种类别的行为特征标识;
步骤9:结合步骤8中所计算出的7种行为的特征标识,生成样本的行为向量并将该行为向量输入到已生成的决策树模型中进行判定识别;
步骤10:决策树输出该次样本识别分析的结果,恶意程序或非恶意程序。
其中,在步骤1中所述的“初始环境”,它是指干净的系统环境,即一个没有运行过其他样本和第三方程序的系统环境;
其中,在步骤1中所述的“在没有被其他恶意程序污染的原始环境中建立沙箱模块”,其做法如下:在内核层安装行为日志驱动,记录由样本程序发出的所有行为。
其中,在步骤2中所述的“黑样本程序”,它是指已知的恶意程序;所述的“白样本程序”它是指非恶意程序。
其中,在步骤3中所述的“环境还原”,它是指将系统恢复到步骤1所述的“初始环境”。
其中,在步骤3中所述的“分别将白样本程序和黑样本程序放入沙箱,进行环境还原之后捕获每个样本程序运行中所产生的所有行为”,其做法如下:通过步骤1中安装的行为日志驱动,捕获样本程序运行中发出的所有行为,是本领域的常见技术。
其中,在步骤4中所述的“行为分类”,它是指:将所有捕获到的行为分成“文件行为”、“注册表行为”、“进程行为”、“内存行为”、“线程行为”、“系统行为”、“网络行为”这7种类别。
其中,在步骤4中所述的“计算各类行为的特征标识节点”,其做法如下:行为捕获后,对各类型的所有行为进行按位或运行,计算出一个行为数值常量,再同样与此类型的标识常量使用按位或计算出一个唯一的特征标识数值。
其中,在步骤4中所述的“行为向量”,它是指在沙箱收集了当前非恶意程序的所有行为后,计算出的关于“文件行为”、“注册表行为”、“进程行为”、“内存行为”、“线程行为”、“系统行为”、“网络行为”这七种类别的特征标识数值的集合。
其中,在步骤4中所述的“白向量集”,它是指计算出的所有白样本程序的行为向量的集合。
其中,在步骤4中所述的“组合得到当前样本的行为向量,将所有白样本向量组合成白向量集”,其做法如下:将所有白样本的行为向量加入到数据容器中,是本领域的常见技术。
其中,在步骤5中所述的“黑向量集”,它是指计算出的所有黑样本程序的行为向量的集合。
其中,在步骤6中所述的“将黑白向量集同机器学习模型进行训练,学习生成用于识别恶意程序的决策树”,其做法如下:从根节点开始,对黑白向量集计算所有特征标识节点的信息增益率,选取信息增益率最大的特征标识节点作为该节点的分类特征,按照该特征划分建立子节点。再对子节点递归调用以上步骤建立新的树,最终决策树构建完毕。
其中,在步骤7中所述的“将待识别的未知样本程序根据沙箱抓取完整行为”,其做法如下:通过步骤1中安装的行为日志驱动,捕获样本程序运行中发出的所有行为,是本领域的常见技术。
其中,在步骤8中所述的“计算未知样本关于“文件行为”、“注册表行为”、“进程行为”、“内存行为”、“线程行为”、“系统行为”、“网络行为”这7种类别的行为特征标识”,其做法如下:将“文件行为”、“注册表行为”、“进程行为”、“内存行为”、“线程行为”、“系统行为”、“网络行为”的具体行为常量与其所属类别的常量值进行安位或计算,得到一个唯一的特征标识数值,即特征标识节点。
其中,在步骤9中所述的“结合步骤8中所计算出的7种行为的特征标识,生成样本的行为向量并将该行为向量输入到已生成的决策树模型中进行判定识别”,其做法如下:从决策树根节点开始遍历,把每一个节点与特征标识节点做比较,直接最后一个节点。
其中,在步骤10中所述的“决策树输出该次样本识别分析的结果,恶意程序或非恶意程序”,它是指:在步骤9处理完毕之后,输出最后一个节点,即本次分析的结果。
通过以上步骤,训练生成决策树,达到了使用决策树模型来进行恶意程序动态识别的目的,解决了分析恶意样本过程中,效率低,流程复杂的问题。
3、优点
本发明通过预收集的恶意程序和非恶意程序组成所需生成的决策树模型的训练样本集,通过在沙箱内动态运行样本集中样本,提取其中动态行为规则,对其行为分类并计算出其各类行为的特征标识节点,组合生成样本的行为向量,根据样本集中各样本的行为向量集合,训练决策树分类器。对于未知样本的识别流程包括动态行为提取,行为信息分类,计算组合出行为向量并带入已经生成的决策树进行搜索判断危险性,极大幅度的提高已知恶意样本和未知恶意样本的准确率及识别效率,且不会被恶意程序开发者做免杀处理绕过,节约人力。
四.附图说明
图1是本发明所述方法流程示意图。
五.具体实施方式:
本发明提供了一种基于决策树模型的恶意程序动态识别方法,通过对大量恶意程序和非恶意程序样本的分析,动态提取特征标识节点并组合转化为行为向量供决策树学习,最终通过决策树识别判断恶意程序,提高检测效率和准确度。
参见图1是本发明所述方法流程示意图,具体流程包括:
步骤S101:初始化沙箱环境,保证当前环境是初始的,没有被其他样本所污染的;
步骤S102:收集大量的恶意程序样本和非恶意程序样本,组合为用于决策树生成的训练样本集;
步骤S103:由沙箱分别启动收集的恶意程序(黑样本程序)和非恶意程序(白样本程序),并记录运行样本所发出的所有行为,每次运行新样本之前需要进行环境还原,还原到初始环境;
步骤S104:对步骤S103中所收集到的非恶意程序(白样本程序)行为进行分类,共7种类似,分为“文件行为”、“注册表行为”、“进程行为”、“内存行为”、“线程行为”、“系统行为”、“网络行为”,计算出样本各个类型的特征标识节点,将各个类型的特征标识节点转化组合为该样本的行为向量,将所有白样本程序的行为向量组合为白向量集;
步骤S105:对步骤S103中所收集到的恶意程序(黑样本程序)行为进行分类,共7种类似,分为“文件行为”、“注册表行为”、“进程行为”、“内存行为”、“线程行为”、“系统行为”、“网络行为”,计算出样本各个类型的特征标识,将各个类型的特征标识转化组合为该样本的行为向量,将所有黑样本程序的行为向量组合为黑向量集;
步骤S106:将黑向量集和白向量集提供给决策树模型学习生成的决策树模型;
步骤S107:将待检测识别的未知样本送入沙箱中记录该样本运行期间的所用行为;
步骤S108:将S107中捕获的行为按照“文件行为”、“注册表行为”、“进程行为”、“内存行为”、“线程行为”、“系统行为”、“网络行为”进行分类并对每一类行为计算得到该类型的特征标识节点;
步骤S109:将S108中计算出的特征标识节点组合成该样本的行为向量,并将该行为向量输入到决策树中,由决策树进行判断识别处理;
步骤S110:决策树判断完毕,输出结果,为恶意程序或非恶意程序。
Claims (10)
1.一种基于决策树模型的恶意程序动态识别方法,其特征在于:其步骤如下:
步骤1:在没有被其他恶意程序污染的原始环境中建立沙箱模块,目的为实现对样本程序的完整行为捕获;
步骤2:收集黑样本程序和白样本程序组成训练样本集,该训练样本集用于生成决策树;
步骤3:分别将白样本程序和黑样本程序放入沙箱,进行环境还原之后捕获每个样本程序运行中所产生的所有行为;
步骤4:对沙箱中白样本程序所运行的数据结果进行行为分类并计算各类行为的特征标识节点,组合得到当前样本的行为向量,将所有白样本向量组合成白向量集;
步骤5:同步骤4一样,对沙箱中黑样本程序所运行的数据结果进行行为分类并计算出其各类行为的特征标识节点,组合得到当前样本的行为向量,将所有黑样本向量组合成黑向量集;
步骤6:将黑白向量集同机器学习模型进行训练,学习生成用于识别恶意程序的决策树;
步骤7:将待识别的未知样本程序根据沙箱抓取完整行为;
步骤8:计算未知样本关于“文件行为”、“注册表行为”、“进程行为”、“内存行为”、“线程行为”、“系统行为”、“网络行为”这7种类别的行为特征标识;
步骤9:结合步骤8中所计算出的7种行为的特征标识,生成样本的行为向量并将该行为向量输入到已生成的决策树模型中进行判定识别;
步骤10:决策树输出该次样本识别分析的结果,恶意程序或非恶意程序;
通过以上步骤,训练生成决策树,达到了使用决策树模型来进行恶意程序动态识别的目的,解决了分析恶意样本过程中,效率低,流程复杂的问题。
2.根据权利要求1所述的一种基于决策树模型的恶意程序动态识别方法,其特征在于:
在步骤1中所述的“初始环境”,它是指干净的系统环境,即一个没有运行过其他样本和第三方程序的系统环境;
在步骤1中所述的“在没有被其他恶意程序污染的原始环境中建立沙箱模块”,其做法如下:在内核层安装行为日志驱动,记录由样本程序发出的所有行为。
3.根据权利要求1所述的一种基于决策树模型的恶意程序动态识别方法,其特征在于:
在步骤2中所述的“黑样本程序”,它是指已知的恶意程序;所述的“白样本程序”它是指非恶意程序。
4.根据权利要求1所述的一种基于决策树模型的恶意程序动态识别方法,其特征在于:
在步骤4中所述的“行为分类”,它是指:将所有捕获到的行为分成“文件行为”、“注册表行为”、“进程行为”、“内存行为”、“线程行为”、“系统行为”、“网络行为”这7种类别;
在步骤4中所述的“计算各类行为的特征标识节点”,其做法如下:行为捕获后,对各类型的所有行为进行按位及运算,计算出一个行为数值常量,再同样与此类型的标识常量使用按位及计算出一个唯一的特征标识数值;
在步骤4中所述的“行为向量”,它是指在沙箱收集了当前非恶意程序的所有行为后,计算出的关于“文件行为”、“注册表行为”、“进程行为”、“内存行为”、“线程行为”、“系统行为”、“网络行为”这七种类别的特征标识数值的集合。
5.根据权利要求1所述的一种基于决策树模型的恶意程序动态识别方法,其特征在于:
在步骤4中所述的“白向量集”,它是指计算出的所有白样本程序的行为向量的集合;
在步骤4中所述的“组合得到当前样本的行为向量,将所有白样本向量组合成白向量集”,其做法如下:将所有白样本的行为向量加入到数据容器中,是本领域的常见技术。
6.根据权利要求1所述的一种基于决策树模型的恶意程序动态识别方法,其特征在于:
在步骤5中所述的“黑向量集”,它是指计算出的所有黑样本程序的行为向量的集合。
7.根据权利要求1所述的一种基于决策树模型的恶意程序动态识别方法,其特征在于:
在步骤6中所述的“将黑白向量集同机器学习模型进行训练,学习生成用于识别恶意程序的决策树”,其做法如下:从根节点开始,对黑白向量集计算所有特征标识节点的信息增益率,选取信息增益率最大的特征标识节点作为该节点的分类特征,按照该特征划分建立子节点;再对子节点递归调用以上步骤建立新的树,最终决策树构建完毕。
8.根据权利要求1所述的一种基于决策树模型的恶意程序动态识别方法,其特征在于:
在步骤8中所述的“计算未知样本关于“文件行为”、“注册表行为”、“进程行为”、“内存行为”、“线程行为”、“系统行为”、“网络行为”这7种类别的行为特征标识”,其做法如下:将“文件行为”、“注册表行为”、“进程行为”、“内存行为”、“线程行为”、“系统行为”、“网络行为”的具体行为常量与其所属类别的常量值进行安位或计算,得到一个唯一的特征标识数值,即特征标识节点。
9.根据权利要求1所述的一种基于决策树模型的恶意程序动态识别方法,其特征在于:
在步骤9中所述的“结合步骤8中所计算出的7种行为的特征标识,生成样本的行为向量并将该行为向量输入到已生成的决策树模型中进行判定识别”,其做法如下:从决策树根节点开始遍历,把每一个节点与特征标识节点做比较,直接最后一个节点。
10.根据权利要求1所述的一种基于决策树模型的恶意程序动态识别方法,其特征在于:
在步骤10中所述的“决策树输出该次样本识别分析的结果,恶意程序或非恶意程序”,它是指:在步骤9处理完毕之后,输出最后一个节点,即本次分析的结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710203447.2A CN106960154A (zh) | 2017-03-30 | 2017-03-30 | 一种基于决策树模型的恶意程序动态识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710203447.2A CN106960154A (zh) | 2017-03-30 | 2017-03-30 | 一种基于决策树模型的恶意程序动态识别方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106960154A true CN106960154A (zh) | 2017-07-18 |
Family
ID=59471619
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710203447.2A Pending CN106960154A (zh) | 2017-03-30 | 2017-03-30 | 一种基于决策树模型的恶意程序动态识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106960154A (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107491691A (zh) * | 2017-08-08 | 2017-12-19 | 东北大学 | 一种基于机器学习的远程取证工具安全分析系统 |
| CN107729752A (zh) * | 2017-09-13 | 2018-02-23 | 中国科学院信息工程研究所 | 一种勒索软件防御方法及系统 |
| CN108200030A (zh) * | 2017-12-27 | 2018-06-22 | 深信服科技股份有限公司 | 恶意流量的检测方法、系统、装置及计算机可读存储介质 |
| CN108304720A (zh) * | 2018-02-06 | 2018-07-20 | 恒安嘉新(北京)科技股份公司 | 一种基于机器学习的安卓恶意程序检测方法 |
| CN109191167A (zh) * | 2018-07-17 | 2019-01-11 | 阿里巴巴集团控股有限公司 | 一种目标用户的挖掘方法和装置 |
| CN109190657A (zh) * | 2018-07-18 | 2019-01-11 | 国家计算机网络与信息安全管理中心 | 基于数据切片及图像哈希组合的样本同源分析方法 |
| CN109214171A (zh) * | 2018-08-29 | 2019-01-15 | 深信服科技股份有限公司 | 一种软件的检测方法、装置、设备及介质 |
| CN109240807A (zh) * | 2018-11-15 | 2019-01-18 | 成都网域复兴科技有限公司 | 一种基于vmi的恶意程序检测系统和方法 |
| CN109800581A (zh) * | 2018-12-29 | 2019-05-24 | 360企业安全技术(珠海)有限公司 | 软件行为的安全防护方法及装置、存储介质、计算机设备 |
| CN109815696A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 终端设备系统防护方法及装置 |
| CN110162970A (zh) * | 2019-01-08 | 2019-08-23 | 腾讯科技(深圳)有限公司 | 一种程序处理方法、装置以及相关设备 |
| CN110162729A (zh) * | 2019-04-04 | 2019-08-23 | 百度在线网络技术(北京)有限公司 | 建立浏览器指纹以及识别浏览器类型的方法、装置 |
| CN110334510A (zh) * | 2018-03-28 | 2019-10-15 | 蓝盾信息安全技术有限公司 | 一种基于随机森林算法的恶意文件检测技术 |
| CN110336835A (zh) * | 2019-08-05 | 2019-10-15 | 深信服科技股份有限公司 | 恶意行为的检测方法、用户设备、存储介质及装置 |
| CN110414233A (zh) * | 2019-06-28 | 2019-11-05 | 奇安信科技集团股份有限公司 | 恶意代码检测方法及装置 |
| WO2020042795A1 (zh) * | 2018-08-31 | 2020-03-05 | 阿里巴巴集团控股有限公司 | 样本属性评估模型训练方法、装置及服务器 |
| CN111143693A (zh) * | 2019-12-31 | 2020-05-12 | 腾讯科技(深圳)有限公司 | 基于人工智能的特征处理模型的训练方法及装置 |
| CN111371812A (zh) * | 2020-05-27 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 一种病毒检测方法、装置和介质 |
| CN111881289A (zh) * | 2020-06-10 | 2020-11-03 | 北京启明星辰信息安全技术有限公司 | 分类模型的训练方法、数据风险类别的检测方法及装置 |
| CN112257065A (zh) * | 2020-09-28 | 2021-01-22 | 网宿科技股份有限公司 | 一种进程事件处理方法和装置 |
| CN113079127A (zh) * | 2020-01-03 | 2021-07-06 | 台达电子工业股份有限公司 | 攻击识别数据模型的生成与应用方法 |
| CN117527369A (zh) * | 2023-11-13 | 2024-02-06 | 无锡商业职业技术学院 | 基于哈希函数的安卓恶意攻击监测方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102567661B (zh) * | 2010-12-31 | 2014-03-26 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
| CN102930210B (zh) * | 2012-10-14 | 2015-11-25 | 江苏金陵科技集团有限公司 | 恶意程序行为自动化分析、检测与分类系统及方法 |
| CN105488413A (zh) * | 2015-06-19 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种基于信息增益的恶意代码检测方法及系统 |
| CN106529293A (zh) * | 2016-11-09 | 2017-03-22 | 东巽科技(北京)有限公司 | 一种用于恶意软件检测的样本类别判定方法 |
| CN103853979B (zh) * | 2010-12-31 | 2018-01-16 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
-
2017
- 2017-03-30 CN CN201710203447.2A patent/CN106960154A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102567661B (zh) * | 2010-12-31 | 2014-03-26 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
| CN103853979B (zh) * | 2010-12-31 | 2018-01-16 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
| CN102930210B (zh) * | 2012-10-14 | 2015-11-25 | 江苏金陵科技集团有限公司 | 恶意程序行为自动化分析、检测与分类系统及方法 |
| CN105488413A (zh) * | 2015-06-19 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种基于信息增益的恶意代码检测方法及系统 |
| CN106529293A (zh) * | 2016-11-09 | 2017-03-22 | 东巽科技(北京)有限公司 | 一种用于恶意软件检测的样本类别判定方法 |
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107491691A (zh) * | 2017-08-08 | 2017-12-19 | 东北大学 | 一种基于机器学习的远程取证工具安全分析系统 |
| CN107729752A (zh) * | 2017-09-13 | 2018-02-23 | 中国科学院信息工程研究所 | 一种勒索软件防御方法及系统 |
| CN107729752B (zh) * | 2017-09-13 | 2019-12-03 | 中国科学院信息工程研究所 | 一种勒索软件防御方法及系统 |
| CN108200030A (zh) * | 2017-12-27 | 2018-06-22 | 深信服科技股份有限公司 | 恶意流量的检测方法、系统、装置及计算机可读存储介质 |
| CN108304720A (zh) * | 2018-02-06 | 2018-07-20 | 恒安嘉新(北京)科技股份公司 | 一种基于机器学习的安卓恶意程序检测方法 |
| CN108304720B (zh) * | 2018-02-06 | 2020-12-11 | 恒安嘉新(北京)科技股份公司 | 一种基于机器学习的安卓恶意程序检测方法 |
| CN110334510A (zh) * | 2018-03-28 | 2019-10-15 | 蓝盾信息安全技术有限公司 | 一种基于随机森林算法的恶意文件检测技术 |
| CN109191167A (zh) * | 2018-07-17 | 2019-01-11 | 阿里巴巴集团控股有限公司 | 一种目标用户的挖掘方法和装置 |
| CN109190657A (zh) * | 2018-07-18 | 2019-01-11 | 国家计算机网络与信息安全管理中心 | 基于数据切片及图像哈希组合的样本同源分析方法 |
| CN109214171A (zh) * | 2018-08-29 | 2019-01-15 | 深信服科技股份有限公司 | 一种软件的检测方法、装置、设备及介质 |
| WO2020042795A1 (zh) * | 2018-08-31 | 2020-03-05 | 阿里巴巴集团控股有限公司 | 样本属性评估模型训练方法、装置及服务器 |
| CN109240807A (zh) * | 2018-11-15 | 2019-01-18 | 成都网域复兴科技有限公司 | 一种基于vmi的恶意程序检测系统和方法 |
| CN109800581A (zh) * | 2018-12-29 | 2019-05-24 | 360企业安全技术(珠海)有限公司 | 软件行为的安全防护方法及装置、存储介质、计算机设备 |
| CN109815696A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 终端设备系统防护方法及装置 |
| CN110162970A (zh) * | 2019-01-08 | 2019-08-23 | 腾讯科技(深圳)有限公司 | 一种程序处理方法、装置以及相关设备 |
| CN110162729A (zh) * | 2019-04-04 | 2019-08-23 | 百度在线网络技术(北京)有限公司 | 建立浏览器指纹以及识别浏览器类型的方法、装置 |
| CN110162729B (zh) * | 2019-04-04 | 2021-09-21 | 百度在线网络技术(北京)有限公司 | 建立浏览器指纹以及识别浏览器类型的方法、装置 |
| CN110414233A (zh) * | 2019-06-28 | 2019-11-05 | 奇安信科技集团股份有限公司 | 恶意代码检测方法及装置 |
| CN110336835A (zh) * | 2019-08-05 | 2019-10-15 | 深信服科技股份有限公司 | 恶意行为的检测方法、用户设备、存储介质及装置 |
| CN110336835B (zh) * | 2019-08-05 | 2021-10-19 | 深信服科技股份有限公司 | 恶意行为的检测方法、用户设备、存储介质及装置 |
| CN111143693A (zh) * | 2019-12-31 | 2020-05-12 | 腾讯科技(深圳)有限公司 | 基于人工智能的特征处理模型的训练方法及装置 |
| CN111143693B (zh) * | 2019-12-31 | 2024-04-30 | 腾讯科技(深圳)有限公司 | 基于人工智能的特征处理模型的训练方法及装置 |
| CN113079127A (zh) * | 2020-01-03 | 2021-07-06 | 台达电子工业股份有限公司 | 攻击识别数据模型的生成与应用方法 |
| CN113079127B (zh) * | 2020-01-03 | 2023-06-02 | 台达电子工业股份有限公司 | 攻击识别数据模型的生成与应用方法 |
| CN111371812A (zh) * | 2020-05-27 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 一种病毒检测方法、装置和介质 |
| CN111881289A (zh) * | 2020-06-10 | 2020-11-03 | 北京启明星辰信息安全技术有限公司 | 分类模型的训练方法、数据风险类别的检测方法及装置 |
| CN111881289B (zh) * | 2020-06-10 | 2023-09-08 | 北京启明星辰信息安全技术有限公司 | 分类模型的训练方法、数据风险类别的检测方法及装置 |
| CN112257065A (zh) * | 2020-09-28 | 2021-01-22 | 网宿科技股份有限公司 | 一种进程事件处理方法和装置 |
| CN117527369A (zh) * | 2023-11-13 | 2024-02-06 | 无锡商业职业技术学院 | 基于哈希函数的安卓恶意攻击监测方法及系统 |
| CN117527369B (zh) * | 2023-11-13 | 2024-06-04 | 无锡商业职业技术学院 | 基于哈希函数的安卓恶意攻击监测方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106960154A (zh) | 一种基于决策树模型的恶意程序动态识别方法 | |
| CN110417810B (zh) | 基于逻辑回归的增强模型的恶意加密流量检测方法 | |
| CN107153789B (zh) | 利用随机森林分类器实时检测安卓恶意软件的方法 | |
| CN106357618B (zh) | 一种Web异常检测方法和装置 | |
| CN109492395B (zh) | 一种检测恶意程序的方法、装置及存储介质 | |
| CN102479298B (zh) | 基于机器学习的程序识别方法及装置 | |
| CN111639337B (zh) | 一种面向海量Windows软件的未知恶意代码检测方法及系统 | |
| CN109165688A (zh) | 一种安卓恶意软件家族分类器构建方法及其分类方法 | |
| CN109492549A (zh) | 一种训练样本集处理、模型训练方法及系统 | |
| CN108108622A (zh) | 基于深度卷积网络和控制流图的漏洞检测系统 | |
| CN109190371A (zh) | 一种基于行为图的Android恶意软件检测方法和技术 | |
| CN105468760A (zh) | 对人脸图片进行标注的方法和装置 | |
| CN106685964A (zh) | 基于恶意网络流量词库的恶意软件检测方法及系统 | |
| CN103839006A (zh) | 基于机器学习的程序识别方法及装置 | |
| CN109903053A (zh) | 一种基于传感器数据进行行为识别的反欺诈方法 | |
| CN103870754A (zh) | 恶意程序识别及训练模型生成方法和装置 | |
| CN109447184A (zh) | 基于深度学习的Android应用网络行为分类方法及系统 | |
| CN113468524B (zh) | 基于rasp的机器学习模型安全检测方法 | |
| Jia et al. | A zest of lime: Towards architecture-independent model distances | |
| CN106874762B (zh) | 基于api依赖关系图的安卓恶意代码检测方法 | |
| CN106843941A (zh) | 信息处理方法、装置和计算机设备 | |
| CN113641906A (zh) | 基于资金交易关系数据实现相似目标人员识别处理的系统、方法、装置、处理器及其介质 | |
| CN110532776B (zh) | 基于运行时数据分析的Android恶意软件高效检测方法、系统及介质 | |
| CN108647497A (zh) | 一种基于特征提取的api密钥自动识别系统 | |
| CN110334510A (zh) | 一种基于随机森林算法的恶意文件检测技术 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170718 |